安全类

• CSRF
• XSS
  基本概念和缩写
  攻击原理
  防御措施

CSRF

CSRF 跨站请求伪造 cross-site request forgery
登录受信任网站A，并在本地生成Cookie。
在不登出A的情况下，访问危险网站B。

防御措施

1.用户一定在注册网站登陆了
2.网站接口存在漏洞

• Token验证
  token是注册成功以后，服务器会自动向本地存储一个token，那么在访问一个接口的时候，如果没有带token的话，就不能通过验证。如果点了引诱连接，这个连接会自动携带cookie，但是不会携带token，所以就避免了攻击。
• Referer验证
  页面来源。如果页面来源不是我这个站点下面的话，就拦截。
• 隐藏令牌
  隐藏在http head头中，和token很像。不会放在连接url中。

XSS

cross-site scripting 跨域脚本攻击
攻击原理与防御措施：http://www.imooc.com/learn/812